擎标课堂 | ISO27701隐私信息管理体系介绍

ISO27701隐私信息管理体系介绍

ISO/IEC 27701标准的发布，填补了目前隐私信息管理体系的空白。该标准将隐私保护的原则、理念和方法融入到信息安全保护体系中，对PII（个人身份信息）控制者和PII处理者进行了详细且落地性强的规定，为企业在隐私保护和信息安全方面提供了指导建议。

一、隐私保护的重要性及立法背景

随着数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题频发，隐私保护的重要性被不断强调。全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。例如：

• GDPR：欧盟于2018年5月25日正式实施了《通用数据保护条例》（GDPR），旨在保护欧盟公民的个人隐私和数据。其适用范围包括欧盟成员国境内企业的个人数据，以及欧盟境外企业处理欧盟公民的个人数据。

  

• CCPA：美国加州于2018年6月通过了《加州消费者隐私法案》（CCPA），该法案被称为美国“最严厉和最全面的个人隐私保护法案”，并于2020年1月1日生效。

• 网络安全法：我国于2017年6月1日正式实施了《中华人民共和国网络安全法》，这是我国首部全面规范网络空间安全管理方面问题的基础性法律，其中包含诸多关于数据（包括个人信息）安全与保护的规定。

二、ISO27701认证的主要目标

ISO27701认证的主要目标是通过PIMS（隐私信息管理体系）的扩展以及与隐私相关的控制来增强现有的信息安全管理体系（ISMS）。其具体包括：

• 简化复杂的重叠隐私法的管理。
• 创建一个以证据为基础的隐私计划。
• 通过公认的认证形式表明该计划的合规性。
• 作为潜在的GDPR合规性的基础。

此外，ISO27701认证还充当PIMS与ISMS或ISO27001之间关系和连接的概述，详述了所需的功能，并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内，ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。

三、ISO27701认证的好处

ISO/IEC 27701标准为企业和其他组织提供了一个国际通用的隐私信息管理工具，对于降低企业隐私合规难度、便利企业提供合规证明、增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理，至少可以获得以下收益：

1. 合规：通过明确对PII处理者的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险。ISO27701标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。因此，满足了ISO27701标准也就意味着基本满足GDPR的要求，进而满足其他即将颁布的隐私保护法规的系列要求。

2. 完善数据安全能力和风险管理：实现持续的完善产品的非功能性要求，进而展示出产品在处理个人隐私安全、安全治理的绩效。通过流程分析，在流程的输入、输出、控制过程中，识别、分析、验证隐私保护需求，传递隐私保护价值，减少甚至消除隐私泄露的风险。

3. 传递信任：客户或合作伙伴，尤其是政府组织、金融机构等承担隐私风险的机构，通常会要求PII处理者提供相关证据（如PIA分析报告），以证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核，可以极大地降低合规沟通成本。这种合规透明度的提高对于组织战略和业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度。

四、如何实施ISO27701认证

对于已通过ISO27001认证并希望实施ISO27701要求的组织，应考虑采取以下步骤：

1. 差距评估：对现有ISMS进行符合ISO27701认证要求的差距评估，并就如何解决这些差距制定行动计划。

2. 数据映射：对组织收集的PII进行数据映射，以了解收集的PII的范围以及如何使用和与处理器共享。

3. 角色确定：根据与组织环境相关的内部或外部因素（如适用的隐私法规、法规、司法决定或合同要求）确定组织作为控制者和/或处理者的角色。

4. 隐私策略更新：查看并更新隐私策略，以确保它们包含必需的信息。

5. 制定政策和程序：制定适用于组织角色的政策和程序。

6. 规划和实施隐私：通过设计和默认原则开始规划和实施隐私保护。

新的ISO27701认证标准提供了一种统一的方式来决定、计划、实施和记录组织在全球范围内的数据隐私方法。无论组织的规模大小，是PII的控制者还是处理者，企业都应考虑为自己的组织或向供应商要求获得ISO27701认证。上海擎标信息技术服务有限公司在这方面具有丰富的经验和成功案例，是企业实施隐私信息安全管理的优选合作伙伴。